Coinbase 的安全審計公司OpenZeppelin 在Convex Finance 中發現了15B 美元的rugpull 漏洞,其匿名開發人員後來解決了該風險。在對Convex Finance 協議進行安全審查期間發生了令人驚訝的發現。
只能從內部利用的錯誤
OpenZeppelin 的安全研究團隊在2021 年底發現,該協議中的一個重大錯誤可能導致價值15B 美元的鎖定資產面臨風險。調查顯示,“如果Convex 多重簽名的三個簽名者中的兩個執行了一系列特定步驟,用戶將能夠訪問目標礦池中的所有LP 代幣,從而進行一次小偷– 從礦池中竊取所有資產。”
Convex 當時的文件表明,其LP 礦池不可能發生這樣的災難。然而,安全團隊後來確定了利用這些漏洞的方法——幸運的是,Convex 於2021 年12 月14 日修補了這些漏洞。
Convex Finance 是一個開源協議,其開發人員自推出以來一直保持匿名。在這種情況下,如OpenZeppelin 所示,只有Convex Finance 的開發人員才能真正利用這些漏洞。由於匿名的性質,有關該事件的披露變得特別複雜。
披露並發症
在分析了Convex 的代碼和利用漏洞所需的努力後,OpenZeppelin 斷言該漏洞是無意的,並且Convex 的開發人員是善意的參與者。
“公開披露會給Convex 的開發人員帶來不正當的激勵”,並導致失去對Convex 團隊至關重要的匿名性。因此,OpenZeppelin 決定“聯繫漏洞賞金合作夥伴Immunefi,以介紹OpenZeppelin 和Convex 之間的中介。”
在雙方同意邀請公眾知名實體進行多重簽名後,使得rugpull 無法進行後,OpenZeppelin 在團隊保證不會利用漏洞的基礎上向Convex 披露了該漏洞。 Convex 很快修補了這個問題,從而終止了價值15B 美元的地毯的風險。
特別優惠(贊助)幣安免費100 美元(獨家):使用此鏈接註冊並獲得幣安期貨第一個月免費100 美元和10% 的費用(條款)。
PrimeXBT 特別優惠:使用此鏈接註冊並輸入POTATO50 代碼,即可獲得高達7,000 美元的存款。
資訊來源:由0x資訊編譯自CRYPTOPOTATO。版權歸原作者所有,未經許可,不得轉載
